Un nouvel accord brillant sur les transferts de données entre l’Union européenne et les États-Unis visant à résoudre l’incertitude juridique coûteuse sur les exportations de données personnelles n’est pas encore en place, mais la commission des libertés civiles du Parlement européen prédit le prochain cadre de confidentialité des données UE-États-Unis (DPF ) ne survivra pas à une contestation judiciaire — tout comme ses deux prédécesseurs, Safe Harbor (RIP : octobre 2015) ; et Privacy Shield (RIP : juillet 2020), n’ont pas réussi à impressionner les juges de l’UE.
Dans une résolution adoptée hier par la commission LIBE, avec 37 voix pour, 0 voix contre et 21 abstentions, les députés ont qualifié le DPF d’amélioration qui ne va pourtant pas assez loin. Ils ont également prédit qu’il serait probablement invalidé par la Cour de justice de l’UE (CJUE) à l’avenir.
Cette évolution fait suite à un projet d’avis de la LIBE, en février, rejetant également la proposition et exhortant la Commission à faire pression pour des réformes significatives.
Dans la résolution, la commission estime que l’arrangement proposé n’offre pas de garanties suffisantes aux citoyens de l’UE puisque le cadre autorise toujours la collecte massive de données à caractère personnel dans certains cas; ne soumet pas la collecte massive de données à une autorisation préalable indépendante ; et ne prévoit pas de règles claires sur la conservation des données.
Les députés craignent également qu’un mécanisme de recours proposé – une soi-disant « Cour de révision de la protection des données » – ne viole les droits des citoyens européens d’accéder et de rectifier les données les concernant, puisque les décisions seraient tenues secrètes. Ils remettent également en cause son indépendance puisque les juges pourraient être révoqués par le président américain, qui pourrait également annuler ses décisions.
« Dans la résolution, les députés soutiennent que le cadre des transferts de données doit être évolutif et que l’évaluation de l’adéquation doit être basée sur la mise en œuvre pratique des règles », selon un communiqué de presse du Parlement, qui a déclaré que la commission a poursuivi en envie la Commission de ne pas accorder d’adéquation sur la base du régime actuel, et de négocier à la place un cadre de transfert de données susceptible d’être retenu devant les tribunaux.
Commentant dans une déclaration après le vote, le rapporteur de la commission LIBE, Juan Fernando López Aguilar, a déclaré :
Le nouveau cadre est certainement une amélioration par rapport aux mécanismes précédents. Cependant, nous n’en sommes pas encore là. Nous ne sommes pas convaincus que ce nouveau cadre protège suffisamment les données personnelles de nos citoyens, et nous doutons donc qu’il survive au test de la CJUE. La Commission doit continuer à travailler pour répondre aux préoccupations soulevées par le comité européen de la protection des données [EDPB] et la commission des libertés civiles quitte à rouvrir les négociations avec les États-Unis
En février, l’EDPB a adopté son avis sur le cadre, présentant également l’accord comme une amélioration du bouclier de protection des données. Mais l’influent organe de pilotage a également soulevé un certain nombre de préoccupations qu’il a recommandé de traiter et d’obtenir des éclaircissements afin de « garantir que la décision d’adéquation perdurera ».
Le vote de la commission LIBE fait partie du processus de contrôle général de l’UE. Bien qu’il soit important de noter que les parlementaires n’ont pas leur mot à dire sur l’adoption ou non du DPF, pas plus que l’EDPB. Le dernier mot sur les décisions d’adéquation appartient à la seule Commission.
Dans le même temps, il est évidemment gênant si des doutes sont soulevés au sein de l’UE quant à la robustesse et à la durabilité du cadre de remplacement prévu.
Le Parlement européen dans son ensemble pourra également s’exprimer, via une future session plénière qui examinera la résolution de la commission LIBE. Il sera donc intéressant de voir dans quel sens les parlementaires cassent.
Le DPF est la dernière offre de haut niveau du bloc pour résoudre le conflit frontal entre les droits à la vie privée de l’UE et les pouvoirs de surveillance américains en insérant une autre décision dite d’adéquation pour faciliter les flux de données UE-États-Unis. Le cadre proposé s’appuie sur des tentatives antérieures (désuètes) en établissant un nouvel ensemble de dispositions visant à masquer les différences majeures – telles que la revendication de «garanties contraignantes» pour limiter l’accès des agences de renseignement américaines aux données, y compris l’introduction de concepts de nécessité et proportionnalité; et une promesse d’amélioration de la surveillance de la surveillance des espions.
Comme indiqué ci-dessus, une nouvelle Cour de révision de la protection des données sera également mise en place, censée constituer un mécanisme de recours indépendant capable de résoudre les plaintes des citoyens de l’UE selon les normes requises par les juges européens. Mais ce qui, selon les critiques, n’est pas un tribunal approprié, au sens juridique complet, ne passera donc pas le cap avec la CJUE.
Une chose est claire : il faut beaucoup plus de temps pour adopter un accord cette fois-ci maintenant que l’offre de pansements adhésifs simples est épuisée.
La Commission est parvenue à un accord de principe sur le DPF il y a un peu plus d’un an. Il a ensuite fallu environ six mois au président américain Joe Biden pour signer un décret exécutif nécessaire à la mise en œuvre du remplacement. Alors qu’il a fallu près de neuf mois après l’annonce de l’accord pour que l’UE parvienne à un projet d’accord (environ deux mois après l’OE). À ce stade, un processus d’examen et d’examen du projet par d’autres institutions de l’UE a été lancé, qui est toujours en cours.
(En revanche, le bouclier de protection des données UE-États-Unis est passé de l’annonce en février 2016 à son adoption officielle en juillet et à sa mise en place au début du mois d’août de la même année. Il a ensuite fallu à la CJUE un peu plus de quatre ans pour le retirer. Il y a donc certainement des leçons à tirer sur les législateurs agissant à la hâte et se repentant à loisir ici.)
En avril de l’année dernière, la Commission a suggéré que l’ensemble du processus de remplacement du bouclier de protection des données pourrait être « finalisé » d’ici la fin de 2022. Et si finalisé signifiait adopté, il était certainement trop optimiste puisque nous sommes au printemps 2023 et que le processus gronde sur.
Certains rapports suggèrent que le DPF ne sera pas adopté avant l’été (Reuters cite des responsables anonymes suggérant qu’il pourrait être prêt d’ici juillet).
Interrogé sur la date prévue d’adoption, un porte-parole de la Commission a déclaré à TechCrunch qu’il ne pouvait pas fournir de calendrier précis car le processus implique plusieurs parties prenantes.
Il a également précisé qu’il analysait « avec soin » l’avis du comité européen de la protection des données et s’efforçait de répondre à ses commentaires et demandes de clarifications avant de passer à la phase suivante du processus d’adoption – qui impliquera de demander l’approbation d’un comité de représentants des États membres de l’UE.
La Commission voudra clairement éviter l’oeuf sur le visage d’une troisième grève – ce qui explique probablement pourquoi l’adoption prend plus de temps que prévu. Et pourquoi il veille à éviter d’être accusé d’ignorer les préoccupations de l’EDPB et d’autres.
Flux de données UE-États-Unis de Meta dans le cadre
Alors que les complexités de la comitologie de l’UE peuvent sembler un thème extrêmement sec, il y a une conséquence très tangible attachée à l’adoption du DPF. En effet, le géant de la technologie Meta, propriétaire de Facebook et d’Instagram, fait face à une ordonnance de suspension des données qui pourrait l’obliger à interrompre ses exportations de données des utilisateurs de l’UE. Et puisque Facebook n’est pas fédéré, il pourrait être contraint de fermer le service aux utilisateurs de l’UE pour se conformer à l’ordonnance.
Une ordonnance préliminaire à cette fin a été émise par le chien de garde des données irlandais à l’automne 2020. Après quoi Meta a obtenu un sursis et a également demandé un contrôle judiciaire – il a donc réussi à retarder le processus pendant un certain temps. Mais il a manqué de route sur cette contestation judiciaire particulière en mai 2021. Et un projet de décision révisé a ensuite été publié en février 2022.
La contestation initiale des flux de données UE-États-Unis de Meta repose sur le même problème de surveillance américain par rapport à la confidentialité de l’UE – mais la plainte remonte en fait à l’année des divulgations de Snowden. Il y a donc eu environ une décennie de taupe réglementaire sur cette question et toujours pas de décision finale.
Cependant, une fin est – théoriquement – enfin en vue.
Hier, l’EDPB a confirmé qu’il avait pris une décision contraignante sur la question – ce qui signifie qu’une décision finale doit être rendue par le principal DPA européen de Meta, la Commission irlandaise de protection des données (DPC), dans un délai d’un mois. Donc mi-mai.
L’été dernier, le géant des médias sociaux a évité de justesse un scénario d’arrêt antérieur lorsque les autorités de protection des données de l’UE n’étaient pas d’accord sur le projet de décision du DPC – lançant un processus de règlement des différends intégré au règlement général sur la protection des données (RGPD) qui a finalement conduit au CEPD. devoir intervenir et prendre une décision contraignante.
Nous ne savons pas encore ce que dit la décision, mais étant donné que l’ordonnance préliminaire était de suspension, il semble peu probable que le Conseil parvienne à un résultat radicalement différent. Et Alors que ce processus tortueux d’application du RGPD touche à sa fin, la question est maintenant de savoir ce qui arrivera en premier : un ordre à Meta de fermer ses flux de données UE-États-Unis – ou l’adoption du DPF UE-États-Unis ?
Ce dernier scénario fournirait bien sûr une nouvelle trappe d’évacuation que Meta utiliserait pour éviter un ordre de suspension.
Tandis que, si le DPF arrive avant l’ordonnance finale du DPC, c’est le même scénario : l’entreprise saisira le cadre de haut niveau pour rafraîchir sa prétention d’être en pleine conformité avec les règles de l’UE et repoussera la boîte sur la route (probablement pour beaucoup années de plus).
Mais même si une ordonnance ordonnant à Meta de suspendre ses flux de données vient en premier, la société demandera sûrement à tous ses avocats locaux de trouver de nouvelles façons de retarder le couteau. Un appel de toute ordonnance réglementaire pour arrêter d’exporter les données des utilisateurs de l’UE est certain. Elle peut également tenter de surseoir à l’exécution en attendant l’issue de son recours. Bien qu’il ne soit pas certain que les tribunaux autoriseraient cela.
Il y a aussi une autre possibilité. La décision finale du DPC pourrait donner à Meta un délai pour arrêter les flux de données – disons deux ou trois mois – ce qui pourrait lui faire gagner juste assez de temps pour que le DPF soit adopté, lui permettant de redémarrer sa base juridique en utilisant le nouveau cadre et évitez à nouveau la menace d’un arrêt.
Le mois dernier, la commissaire du DPC, Helen Dixon, a admis à Reuters que la chronologie était « en train de se terminer ».
Les observateurs de la vie privée examineront certainement celui-ci de près pour voir si Meta fait face à un dernier calcul sur les transferts de données à long, long terme. Ou s’il s’accroche à un autre moyen de continuer à jouer les régulateurs et les législateurs les uns contre les autres.